信息安全隐患分析及对策

2014-04-17何良军

新课程·中旬 2014年1期

何良军

摘要：从网络平台、应用平台、管理平台以及计算机系统的物理安全等方面着手，分析了可能存在的网络信息安全隐患，并在此基础上提出了相应的网络信息安全解决方案。

关键词：网络信息安全；安全隐患；解决方案

21世纪全世界的计算机都将通过Internet联到一起，随着Internet的发展，网络丰富的信息资源给用户带来了极大的方便，但同时也给用户带来了网络信息安全问题。由于Internet的开放性和超越组织与国界等特点，使它在安全性上存在一些隐患，而且信息安全的内涵也发生了根本的变化。

一、什么是信息安全

在探讨网络信息安全前，必须首先明确什么是信息安全，其具体内容是什么。目前，有关信息安全的定义比较流行的主要有以下几种说法：

国际标准化组织（ISO）定义：“为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和显露。”我国安全专家缪道期则认为：“计算机的硬件、软件和数据受到保护，不因偶然的和恶意的原因而遭到破坏、更改和显露，系统连续正常运行。”两种说法究其根源是一致的，前者偏重于静态信息保护，后者着重于动态意义描述。

总的来说，信息安全的主要目标是保护信息资源以免受毁坏、替换、盗窃和丢失。这些信息资源包括计算机设备、存储介质、软件、计算机输出材料和数据。信息安全可分为物理安全和逻辑安全。物理安全指系统设备及相关设施受到物理保护，免于破坏、丢失等；逻辑安全包括信息完整性、保密性和可用性。

二、网络信息安全隐患分析

（一）对各类型安全隐患的分析

下面我们就从网络平台、应用平台、管理平台以及计算机系统的物理安全等多方面来分析可能存在的安全隐患，并在此基础上对每种类别的安全隐患进行具体分析描述。

1.网络平台存在的安全隐患

（1）内网连接外网后，经常遭受来自外部网络的非授权访问、黑客对系统的恶意攻击以及病毒入侵。

（2）系统内部不同域相互连接后，会遭受来自内部有意或无意的非授权访问、恶意攻击以及病毒入侵。

（3）信息在广域网上传输时数据泄露的危险。

2.应用平台存在的安全隐患

（1）关键业务主机系统的安全隐患：不能实时监控关键业务主机硬件系统的运行情况；不能实时报告关键业务主机系统故障；操作系统的安全级别低，缺乏对关键业务主机操作系统用户权限的严格控制、文件系统的保护等。

（2）数据库系统的安全隐患：系统漏洞的安全隐患；不能实时监控数据库系统的运行情况，包括数据库文件存储空间、系统资源使用率、数据库进程状态、进程所占内存空间等；黑客利用已知的系统漏洞对系统进行攻击。

3.管理平台存在的安全隐患

（1）信息安全管理体系的安全隐患：

①没有统一的信息安全报警系统，不能及时发现已经发生的网络安全事件；

②没有统一的信息安全审计系统，不能迅速确定网络安全事件的来源；

③没有统一的信息安全管理策略配置系统，不能迅速执行制定的安全策略，管理复杂，管理成本高；

（2）网络设备和通信线路的安全隐患：

①不能实时监控网络设备和通信线路的工作状况；

②不能及时发现和定位通信系统故障。

4.计算机系统的物理安全

信息安全的另一方面是计算机设备的安全，包括通讯连接以及真正的计算机和数据介质的安全。在工作中经常会出现由于人为失误或硬件故障如磁盘故障、介质、设备和其他备份故障造成数据丢失或改变。国外一家公司在对分布式存储研究中意外发现，平均为完成研究工作所做的备份工作出错几乎达到了每周三次。其中有一次服务器由于磁盘故障丢失了所有数据，当准备用备份磁带恢复文件时却发现没有一盘磁带有数据。可见，制定行之有效的数据备份恢复方案，以应对可能出现的灾难事故时至关重要。

（二）信息安全隐患的集中表现

通过对以上可能出现的安全隐患的分析，我们现在可以得出初步结论。目前，信息安全隐患主要集中在以下几个方面：

1.非授权访问

在工作中经常会碰到有意或无意的非授权访问。对此，系统管理员一般使用访问控制技术来防范非授权访问，即对进入系统进行控制以及进入系统后，对文件和程序等资源的访问进行控制。其作用是对想访问系统和数据的人进行识别，并检验其身份。

有三种主要的方法可以实现访问控制。第一种要求用户输入一些保密信息，如账号和口令。另一种更复杂的方法是采用一些物理识别设备，如访问卡、钥匙或令牌。另外，还可以采用生物统计学系统，可以基于某种特殊的物理特征对人进行唯一性识别，如指纹、掌纹等。

2.入侵检测和防范

目前常用的入侵检测和防范的常用方法主要是防火墙技术。通过防火墙技术可防止攻击能较容易地在网络之间移动、四处传播摧毁和破坏的，使不同的网络保持相互隔离的状态下，仍能通过路由器或网关通讯，同时限制什么数据可以“通过”防火墙的“门”，并进入到另一个网络。其使用硬件和软件的组合来决定何种请求可以从外部进入内部网络，可防范从因特网或外部网络到该内部网络的全部访问，也可以选择性地检查从一边到另一边的每一条消息或通讯。但防火墙技术也存在局限性，如对内部网络的攻击无能为力，在实际工作中经常与其他安全措施配合使用。

3.病毒防护

病毒是系统中最常见、威胁最大的安全问题来源，建立一个全方位的病毒防范系统是网络系统安全体系建设的重要任务。

目前主要采用病毒防范系统解决病毒查找、清杀问题。

根据网络结构和计算机分布情况，病毒防范系统的安装实施要求为：

（1）能够配置成分布式运行和集中管理，由防病毒代理和防病毒服务器端组成；

（2）防病毒客户端安装在系统的关键主机中，如关键服务器、工作站和网管终端；

（3）在防病毒服务器端能够交互式地操作防病毒客户端进行病毒扫描和清杀，设定病毒防范策略；

（4）能够从多层次进行病毒防范，第一层工作站、第二层服务器、第三层网关都能有相应的防毒软件提供完整的、全面的防病毒保护。

4.系统漏洞

系统漏洞通常是由操作系统开发者有意设置的，这样软件工程师就可以在用户忘记了自己的账号和口令时进入系统进行维修。由于系统漏洞的存在，攻击者可绕过已设置的安全机制非法访问系统，引发各种安全隐患。如在互联网上肆虐的“W32/Nimda”的尼姆达病毒就是利用IE浏览器的系统漏洞。对于系统漏洞，只能将系统不断升级，及时下载执行补丁程序。

三、信息安全解决方案

（一）为确保信息安全，通过信息安全解决方案务必实现以下目标

1.外网之间及内网间的逻辑隔离；

2.关键业务主机操作系统加固，实现强制访问控制；

3.实时检测对本地局域网的攻击行为，并能与防火墙联动，自动阻断网络攻击；

4.实时查杀本地局域网中的病毒；

5.加强对各种网络安全事件的检测与审计，统一管理各安全分系统；

6.实时监控关键业务主机的运行情况，并实时报告其故障；

7.实时监控数据库的运行状态；

8.及时发现和排除网络设备与通信线路故障，避免网络通信瘫痪；

9.防止敏感信息在广域网传输过程中，被非法窃取和篡改；

10.防止黑客利用已知的系统漏洞，对系统进行攻击。